Differences between revisions 108 and 109
Revision 108 as of 2021-03-11 20:24:29
Size: 11331
Comment:
Revision 109 as of 2021-03-11 20:26:48
Size: 11418
Comment:
Deletions are marked like this. Additions are marked like this.
Line 14: Line 14:
[[DNS/乗取]] [[DNS/乗取]] を理解するには [[DNS/delegation]] を理解しておくことが重要です。

1. DNS/lame_delegation

警告:lame delegation(誤委譲)は「乗取」に直結しています。
  特にawsdns/route53では注意が必要です。

DNS/乗取 を理解するには DNS/delegation を理解しておくことが重要です。


DNS/共用ゾーンサービスを使っていても、DNSの仕組みの理解は重要です。

DNS/delegation などを理解していることを前提とします。 -- ToshinoriMaeno 2020-09-23 23:49:49

きちんと「委譲設定」をするのは、ドメイン登録者の義務です。
きちんと「委譲設定」をさせるのは、ドメイン登録業者の義務です。

lame delegationを乗取に結び付けないようにするのはDNSサービス業者の義務でしょう。

1.1. 委譲設定の検査

DNS健全性チェッカー http://www.e-ontap.com/dns/health/

  • jp.sharp を試してみよ。

https://dnsviz.net/

http://dns.squish.net/

https://dnscheck.jp/

1.2. 文献

https://www.openintel.nl/papers/

When parents and children disagree: Diving into DNS delegation inconsistency https://www.caida.org/publications/papers/2020/when_parents_children_disagree/when_parents_children_disagree.pdf

DNS/委譲 DNS/委譲/NSレコードのないドメイン

DNS/RFC/8906/3 には SOA 返答について言及がある。

DNS Lame Delegations Report 2019-11 http://dnsinstitute.com/research/lame-servers-201911/

https://delaat.net/rp/2020-2021/p59/presentation.pdf The current state of DNS Lame delegations

  • An analysis of the current state of lame delegations within theSwedish .se tld

https://ian.ucsd.edu/papers/unresolved_issues-imc20.pdf Unresolved Issues: Prevalence, Persistence, and Perilsof Lame Delegations

DNS/共用DNSサービスを利用しているときにlame delegationを発生させると、 DNS/乗取られる/危険性が大です。

  • ドメインの委譲」が正常に機能していない状態を指します。(ドメインが管理不十分。)

委譲されているはずのサーバーが返事をしない、返事がおかしい、などは一例に過ぎません。

  • 登録が間違っているのもよく見かけます。

/なぜawsdnsにlameが多いか

放置空き家がもたらす被害 https://www.akiya-akichi.or.jp/what/damage/

1.3. delegation

DN(分散)を支えているのは、 DNS/delegation (委譲/委任) です。あなたはそれを理解していますか。

警告:lame delegation(誤委譲)は「乗取」に直結しています。特にawsdns/route53では注意が必要です。

委譲登録したネームサーバーは正常に動作していますか。確認しましょう。

  • 返事をしないサーバーを登録していると、乗取られる危険があります。

1.4. 共用DNSサービスは危ない

ゾーン作成時にドメイン名の権利確認をしないDNSサービスが多い。これらは乗取の共犯だと言えます。

/共用サービス

DNS/orphaned_internet --- 気づいたのはこのページのおかげです。DNS/floating_domains

Floating Domains – Taking Over 20K DigitalOcean Domains via a Lax Domain Import System

https://thehackerblog.com/floating-domains-taking-over-20k-digitalocean-domains-via-a-lax-domain-import-system/index.html

http://www.circleid.com/posts/20200811-afilias-to-protect-tlds-against-potential-orphan-glue-exploits/

1.5. これまでの説明

https://www.nic.ad.jp/ja/newsletter/No36/0800.html

JPNICの説明: ゾーンの委任が適切に行われていない状態を表します。

JPRS: 用語; https://jprs.jp/glossary/index.php?ID=0176

(資料) DNSの健全な運用のために ~Lame Delegation編~ https://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html

DNS/記録/visa.co.jp事件 http://www.e-ontap.com/summary/

その他 /資料 をどうぞ。

1.6. 経緯

DNS/誤委譲 (lame delegation)はネットワークに対する迷惑行為に加えて、乗取られる危険性を持っています。

e-ontap.com ドメインが失効して、tssさんが保護した。(経緯: https://www.e-ontap.com/detail.html )

設定不良のドメインがJPドメイン下に多数存在していた。

DNSの健全な運用のために ~Lame Delegation編~ 2003/05/20(Tue)

JPRSからの警告 (2005年) https://jprs.jp/whatsnew/notice/before2011/problematic_ns_notice.html

ネームサーバの設定が不適切な状態のままにしておくと、ネームサーバが属するドメイン名の管理権限を第三者が取得することにより、本来のサイトと異なるサイトに誘導できるという危険性が指摘されています。

visa.co.jpなどについての指摘を受けての警告でしたが、 危ないのは失効したドメイン名だけではありません。

1.6.1. 2003年

https://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html

  • ここでは乗取の危険性は言及されていない。

前野がDNSに興味を持ち始めたのは2000年ころだったと記憶している。(djbdnsを利用しはじめたとき)

  • その頃にJP下にlame delegatino(特に存在しないドメイン下を指すNS)が多数存在することに気づき、 メイリングリストで報告していた。

同じころにJPドメインの管理者の間でも改善しようという動きがあった。2012年

TLD Operators: Cleaning Up Lame Delegations

  • By Mark Foster System Administrator
  • January 14, 2004

http://www.circleid.com/posts/tld_operators_cleaning_up_lame_delegations/

1.6.2. 2005年

DNS/記録/visa.co.jp事件 はマスコミにも取り上げられたが、失効したドメインというだけの扱いで終わってしまった。

1.6.3. 2012

さくらが提供しはじめたDNSなどで、乗取可能なことがあるのを見つけて、指摘した。

  • 関連して、危ない機能がいくつも明らかになった。DNS/共用ゾーンサービス/さくら

    • さくらは自分のところだけではない、と言っていたが、言い訳にしか聞こえなかった。(反省)

さくらの説明をよく読めば、lame delegationが危険なことは読み取れたはずだった。-- ToshinoriMaeno 2020-05-28 00:31:25

親子ドメイン同居についてのJPRSの解説を筆記: http://www.geekpage.jp/blog/?id=2012/12/13/1 [書き起こし]親の心子知らず?委任にまつわる諸問題について考える ~ランチのおともにDNS~

事例2:使用休止ドメイン名の不正使用

これらだけでしょうか。

DNS/RFC/1912/delegation 私の調査では、登録ドメインの1%程度がlame delegation設定を持っています。

  • これを多いと思うかどうかです。-- ToshinoriMaeno 2019-10-15 07:55:21

Subdomain Takeover: Going beyond CNAME https://0xpatrik.com/subdomain-takeover-ns/

1.7. 警告の手段

lame delegationを公表しては、乗取を誘うようなものだ。

  • 個別に連絡するのも難しいし、面倒だ。(多くは"lame delegation"がなにを指すかも理解されない。)

共用 DNS サービスの脆弱性は IPA の取扱い範囲外 [2013] https://www.e-ontap.com/blog/20131015.html

https://twitter.com/beyondDNS/status/1185453289246085123

dnsstreamの活動を見て、思いついたこと:
  lame delegation状態では乗取の恐れがあるので、名前を出しての警告はできない。
  しかし、監視を続けていれば、lame delegationが解消した時点で、乗取の可能性を指摘することはできる。
  そこで、com/jp下の3000ドメイン名を観察することにした。🧙‍♂️ 午後4:11 · 2019年10月19日

2. 危険のもと

2.1. 権利確認が不十分

2.2. キャッシュサーバを登録するな

takeo-mylib.jp の場合 (徳丸浩さんの調査)

  • 権威サーバーを登録すべきなのに、キャッシュサーバーが指定してある。
    • bindが再帰クエリする場合はキャッシュサーバーからのレスポンスは捨てて、
    • もう一つの権威サーバーに問い合わせし直している

…毒入れの危険は増さないが、邪魔になるだけということか(毒にも薬にもならず単に邪魔)

  • 毒盛の危険性は増えている。-- ToshinoriMaeno 2012-09-02 03:55:29

BIND 9.7.0-P1、unbound Version 1.4.1 です。Ubuntu 10.04.01のapt-getで導入していますので、最新ではないと思います

2.3. JPRS /JPNIC

2003 JPRS http://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html

2007 JPNIC http://www.nic.ad.jp/ja/newsletter/No36/0800.html

これらの説明は「乗取」の危険性には触れていない。(しかも、DNSオペレータ向け)

http://www.cosmo.sci.hokudai.ac.jp/~epnetfan/zagaku/2005//iw_report/C1-dns/C1-memo.html#label-14

レジストリとしての Lame チェックの重要性 (小山 祐司 [JPNIC])

    Lame Delegation
        DNS サーバが正常に動作していない状態を表す
    Lame Delegation 問題点
        ユーザ側
            名前解決ができない
            名前解決に時間がかかる
            誤った名前解決をされる
        ネットワーク全体
            無駄なトラフィックが生じる

あとは2012年のランチセミナー資料くらい。「親子同居」による乗取り。

/分類

2.4. 確認手段

https://ns1.com/blog/using-dig-trace

Trace DNS Delegation http://www.simpledns.com/lookup-dg.aspx

確認の道具: DNSSECは余計だが、

これらを使いこなすにもDNSの基礎知識は欠かせない。

2.5. 「ゾーンがlame」ってどういう意味?

  • DNSの世界において「ゾーンがlameである」とは一体どのような状態を指すのか解説する。

2015年10月28日 05時00分 公開 [米谷 嘉朗(JPRS),@IT] https://www.atmarkit.co.jp/ait/articles/1510/28/news015.html

共用DNSの危うさが指摘された(2012)あと出されたものですが、これでも不十分でした。

  • ゾーンがlameなのでしょうか。lame delegationの訳でもない。

MoinQ: DNS/lame_delegation (last edited 2024-03-12 10:49:14 by ToshinoriMaeno)